ویندوز 11 و ویندوز سرور 2025 به‌صورت پیش‌فرض نسبت به نسخه‌های قبلی امن‌تر هستند، اما هنوز هم ده‌ها تنظیم حیاتی وجود دارد که اگر فعال نشوند، سیستم شما در برابر حملات سایبری، باج‌افزار و سوءاستفاده‌های روز صفر (Zero-Day) آسیب‌پذیر خواهد بود.

در این وبلاگ، ۱۵ پیکربندی ضروری که براساس جدیدترین توصیه‌های امنیتی مایکروسافت و مرکز امنیت اینترنت (CIS) هستند را مرحله‌به‌مرحله بررسی می‌کنیم.

۱. فعال‌سازی SmartScreen برای جلوگیری از اجرای فایل‌های خطرناک

ویندوز SmartScreen برای جلوگیری از اجرای فایل‌های ناشناس یکی از بهترین لایه‌های دفاعی است. در بسیاری از سازمان‌ها این قابلیت به اشتباه خاموش می‌شود.
این ویژگی جلوی اجرا شدن اسکریپت‌ها، فایل‌های مشکوک و برنامه‌های بدون اعتبار را می‌گیرد.

۲. فعال‌سازی Controlled Folder Access برای مقابله با باج‌افزار

این قابلیت بخشی از Windows Defender است و باعث می‌شود برنامه‌های ناشناس نتوانند به فایل‌های حساس دسترسی داشته باشند.
فعال کردن آن یک لایه دفاعی مستقیم علیه باج‌افزارها ایجاد می‌کند.

۳. فعال‌سازی Memory Integrity و Core Isolation

این گزینه باعث می‌شود حملات مبتنی بر Kernel یا درایورهای آلوده، شانس موفقیت بسیار کمی داشته باشند.

۴. استفاده از BitLocker برای رمزگذاری کامل دیسک

اگر دستگاه سرقت شود یا هارد خارج شود، بدون BitLocker اطلاعات به‌راحتی بازیابی خواهد شد.

۵. فعال‌سازی TPM 2.0 در BIOS

TPM پایه بسیاری از قابلیت‌های امنیتی ویندوز است، از جمله Secure Boot، BitLocker و Windows Hello. بدون آن، سیستم امنیتی ویندوز ناقص می‌ماند.

۶. فعال‌سازی Secure Boot برای جلوگیری از Boot شدن فایل‌های مخرب

Secure Boot جلوی بارگذاری برنامه‌های ناشناخته و malware در زمان روشن شدن سیستم را می‌گیرد.

۷. پیکربندی Firewall با رول‌های ضروری

حتماً موارد زیر تنظیم شوند:

• بستن پورت‌های غیرضروری
• محدود کردن ارتباطات RDP
• فعال کردن Logging
• استفاده از Ruleهای سفارشی برای سرویس‌های حیاتی

۸. غیرفعال‌سازی Remote Desktop در صورت عدم نیاز

RDP محبوب‌ترین نقطه ورود مهاجمان است. اگر فعال لازم نیست، کاملاً غیرفعالش کنید.

۹. فعال‌سازی Account Lockout Policy

برای جلوگیری از حملات Brute Force روی رمز عبور، تعداد دفعات مجاز ورود اشتباه را محدود کنید.

۱۰. فعال‌سازی Windows Sandbox

برای تست کردن فایل‌های ناشناس بدون اینکه خطری سیستم اصلی را تهدید کند.

۱۱. فعال‌سازی Tamper Protection

این قابلیت باعث می‌شود ویندوز دیفندر توسط بدافزارها غیرفعال نشود. یکی از حیاتی‌ترین تنظیمات امنیتی جدید مایکروسافت.

۱۲. غیرفعال‌سازی Autorun

Autorun یکی از مسیرهای آلوده‌سازی از طریق فلش و هارد اکسترنال است. حتماً آن را غیرفعال کنید.

۱۳. محدودسازی دسترسی Administrative

حساب ادمین فقط باید برای کارهای ضروری استفاده شود. به جای آن از حساب Standard استفاده کنید و قابلیت UAC را روشن نگه دارید.

۱۴. فعال‌سازی Log Collection و Event Forwarding

برای بررسی حملات سایبری، داشتن لاگ‌های مناسب ضروری است. لاگ‌ها باید روی سرور متمرکز جمع شوند تا در صورت حمله پاک نشوند.

۱۵. چک‌لیست نهایی Harden کردن ویندوز

در پایان کار باید اطمینان پیدا کنید:

• همه آپدیت‌ها نصب هستند
• پورت‌ها بسته‌اند
• لاگینگ فعال است
• کاربران محدودسازی شده‌اند
• محافظت سخت‌افزاری و نرم‌افزاری فعال است

این چک‌لیست کوچک، ستون فقرات امنیت سیستم شماست.

جمع‌بندی

ویندوز 11 و ویندوز سرور 2025 امکانات امنیتی قدرتمندی دارند، اما هیچ‌کدام به‌صورت پیش‌فرض کامل نیستند.
با اجرای این ۱۵ پیکربندی حیاتی، می‌توانید سطح امنیت سیستم را تا چند برابر افزایش دهید و جلوی رایج‌ترین حملات مانند باج‌افزار، حملات فیشینگ هدفمند، سوءاستفاده از پورت‌ها و نفوذهای مبتنی بر RDP را بگیرید.
این تغییرات نه‌تنها برای سازمان‌ها بلکه برای کاربران خانگی نیز ضروری هستند.